L’art. 20, comma 4, del d.lgs. n. 101/2018 demandava al Garante il compito di effettuare, nel termine di novanta giorni dall’entrata in vigore del decreto stesso, una verifica della conformità al Regolamento delle disposizioni contenute in alcuni codici deontologici ivi indicati, tra i quali quelle contenute nel “Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive”, adottato il 6 novembre 2008, inserito nel Codice in materia di protezione come allegato A.6.
Con delibera n. 512 del 19 dicembre 2018 (Link) il Garante della Privacy approvava tali regole che, con il decreto del Ministero della Giustizia del 15 marzo 2019, pubblicato sulla Gazzetta Ufficiale del 26 marzo 2019, n. 72, venivano inserite nell’allegato A) al d.lgs. 30 giugno 2003, n. 196 quali «Regole deontologiche relative al trattamento di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria», (Link)
Ambito di applicazione
Queste prescrizioni sono destinate agli avvocati, i quali devono osservarle nel corso di un procedimento, anche in sede amministrativa, di arbitrato o di conciliazione, ma anche nella fase propedeutica all’instaurazione di un eventuale giudizio, nonché nella fase successiva alla sua definizione (art. 1 Regole deontologiche)
Modalità di trattamento
L’Avvocato deve organizzare il trattamento, anche non automatizzato, dei dati personali secondo le modalità che risultino più adeguate al caso concreto, al fine di consentire l’effettivo rispetto dei diritti, delle libertà e della dignità degli interessati.
Dovrà effettuare quindi un’attenta valutazione sostanziale e non formalistica delle garanzie previste, nonché un’analisi della quantità e qualità delle informazioni che utilizza e dei possibili rischi, nel rispetto dei principi di finalità, proporzionalità e minimizzazione dei dati indicati all’art. 5 del GDPR.
Il difensore dovrà inoltre adottare tutte le misure atte a prevenire l’ingiustificata raccolta, utilizzazione o conoscenza di dati nei seguenti casi:
“a) acquisizione anche informale di notizie, dati e documenti connotati da un alto grado di confidenzialità o che possono comportare, comunque, rischi specifici per gli interessati;
b) scambio di corrispondenza, specie per via telematica;
c) esercizio contiguo di attività autonome all’interno di uno studio;
d) utilizzo di dati di cui è dubbio l’impiego lecito, anche per effetto del ricorso a tecniche invasive;
e) utilizzo e distruzione di dati riportati su particolari dispositivi o supporti, specie elettronici (ivi comprese registrazioni audio/video), o documenti (tabulati di flussi telefonici e informatici, consulenze tecniche e perizie, relazioni redatte da investigatori privati);
f) custodia di materiale documentato, ma non utilizzato in un procedimento e ricerche su banche dati a uso interno, specie se consultabili anche telematicamente da uffici dello stesso titolare del trattamento situati altrove;
g) acquisizione di dati e documenti da terzi, verificando che si abbia titolo per ottenerli;
h) conservazione di atti relativi ad affari definiti.”
Titolare del trattamento
L’art. 2 delle Regole che stiamo esaminando tratta della figura del Titolare del Trattamento e lo individua, a seconda dei casi, nel singolo professionista o nella pluralità (qualora vi siano più difensori, consulenti, domiciliatari,etc.) o in capo ad una eventuale associazione/società di professionisti.
Pare infatti azzardato creare dei ruoli preimpostati, dovendo avere riguardo alle effettive attività svolte dal professionista in un procedimento.
Qualora il professionista si avvalga di terze persone (quali sostituto processuale, praticante avvocato, consulenti tecnici, periti, investigatori, etc.) per l’espletamento del mandato, dovrà fornire a queste ultime adeguate istruzioni sulle modalità di trattamento dei dati che saranno diverse a seconda del destinatario delle stesse e delle attività che quest’ultimo dovrà compiere.
Informativa sulla privacy
Quanto all’informativa sul trattamento dei dati personali (art. 13 del Regolamento UE) il Legale potrà fornirla anche mediante affissione nei locali del proprio Studio ed eventualmente pubblicandola sul proprio sito Internet, qualora ne possegga uno. Non sarà necessario utilizzare formule dettagliate, prolisse e solenni. Nello stesso contesto l’avvocato dovrà anche fornire le notizie che deve indicare ai sensi della disciplina sulle indagini difensive.
Per completezza espositiva, si precisa che nel codice deontologico previgente gli avvocati erano esonerati dal rendere l’informativa in caso di utilizzo di dati personali in giudizio anche se raccolti presso terzi. Tale esonero non viene riportato nelle nuove regole deontologiche sebbene sia espressamente previsto all’art. 14, comma 5, del Regolamento UE 679/2016 (ed altresì contenute nel Considerando 62).
Tale disposizione infatti indica quali informazioni debbano essere fornite qualora i dati non siano stati ottenuti dall’interessato stesso.
Conservazione e cancellazione dei dati
Una volta definito/estinto il procedimento giudiziario (o un grado di giudizio) o esaurito il mandato conferito, il difensore non sarà tenuto a disfarsi immediatamente delle informazioni raccolte, potrà infatti conservare i documenti (e i relativi dati), in originale o in copia ma anche in formato elettronico.
Tuttavia, in questo contesto, l’avvocato dovrà svolgere una valutazione sulla necessità della conservazione di tali dati per eventuali esigenze difensive future, tenendo conto della tipologia dei dati in possesso. Le regole di condotta dispongono infatti che qualora sia prevista una conservazione per adempiere ad un obbligo normativo (anche in materia fiscale e di contrasto della criminalità) dovranno custodirsi unicamente i dati necessari per adempiere a quello specifico obbligo.
Il codice deontologico forense prevede che il difensore, conclusesi le attività per le quali è stato conferito il mandato (anche in caso di revoca/rinuncia), dovrà restituire tutti gli originali della documentazione al cliente. Nel caso subentri nuovo difensore dovrà essere trasmessa a quest’ultimo.
Naturalmente, esauritosi un procedimento, l’avvocato potrà cancellare, distruggere, disfarsi della documentazione contenuta nei fascicoli e delle eventuali copie ma prima dovrà comunicarlo alla parte assistita (o ad eventuali eredi).
Comunicazione dei dati a terzi
Infine, in merito alla divulgazione dei dati a terzi o alla stampa, le regole deontologiche ribadiscono che “possono essere rilasciate informazioni non coperte da segreto qualora sia necessario per finalità di tutela dell’assistito, ancorché non concordato con l’assistito medesimo, nel rispetto dei principi di liceità, trasparenza, correttezza, e minimizzazione dei dati di cui al Regolamento (UE) 2016/679 (art. 5), nonché dei diritti e della dignità dell’interessato e di terzi, di eventuali divieti di legge e del codice deontologico forense.”
Conclusione
Il rispetto delle disposizioni contenute nelle regole deontologiche costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali.
L’avvocato diligente, sebbene non si riscontrino sostanziali differenze rispetto alle previgenti regole deontologiche, dovrà possedere una profonda conoscenza della normativa del trattamento dei dati personali, dalle disposizioni contenute nel vecchio codice della privacy, a quelle del GDPR (e del D.lgs 101/2018) oltre alle regole di condotta di cui si è trattato.
Il Legale dovrà tenersi costantemente aggiornato sull’evoluzione della regolamentazione e adottare un approccio mirato prestando attenzione alle specifiche esigenze del caso concreto, sempre nel rispetto dei principi indicati dal GDPR.
VP
